# FritzBox WireGuard: NetBIOS-Option & SMB / SAMBA Beschreibung: Fehler 80004005 bedeuet entweder Benuterzname Kennwort sind falsch, bzw. im Credentialmanager beschädigt. Dann in der Systemsteuerung Anmeldeinformationen diese löschen neu anmelden oder, es ist eine Fritzbox als Wireguard Client konfiguriert zum Zugriff auf den Zielserver.
[![image.png](https://wiki.hacker-net.de/uploads/images/gallery/2026-05/scaled-1680-/BkiSS8PZZZpSdWFK-image.png)](https://wiki.hacker-net.de/uploads/images/gallery/2026-05/BkiSS8PZZZpSdWFK-image.png)
Warum Windows-Dateifreigaben über WireGuard-VPN ohne die NetBIOS-Option nicht funktionieren — auch bei direkter IP-Adresse
### Inhaltsverzeichnis
1. [Das Problem in der Praxis](#bkmrk-%F0%9F%94%8D-das-problem-in-der) 2. [Hintergrund: SMB vs. NetBIOS](#bkmrk-%F0%9F%93%9A-hintergrund%3A-smb-v) 3. [Protokolle & Ports im Überblick](#bkmrk-%F0%9F%94%8C-protokolle-%26-ports) 4. [Was passiert beim Verbindungsaufbau?](#bkmrk-%F0%9F%94%84-was-passiert-beim-) 5. [Warum scheitert es auch bei direkter IP-Eingabe?](#bkmrk-%E2%9D%93-warum-scheitert-es) 6. [FritzBox-interne Mechanik](#bkmrk-%E2%9A%99%EF%B8%8F-fritzbox-interne-) 7. [Fix & Empfehlungen](#bkmrk-%F0%9F%9B%A0%EF%B8%8F-fix-%26-empfehlunge) 8. [Quellen](#bkmrk-%F0%9F%93%8E-quellen-avm%3A-wireg)
## 🔍 Das Problem in der Praxis Wer über eine FritzBox, die als WireGuard-Client konfiguriert ist, auf Windows-Dateifreigaben (SMB/CIFS) im Remote-Netz zugreift, erlebt oft folgenden Fehler: ``` \\192.168.2.11\Freigabe Fehlercode: 0x80004005 "Zugriff verweigert" / "Auf Netzwerkressource kann nicht zugegriffen werden" ``` Das Verwirrende: Port-Checks auf TCP 445 schlagen durch, die Authentifizierung klappt in separaten Test-Tools — aber Windows Explorer und `net use` scheitern zuverlässig.
💡
**Die Lösung** In der FritzBox-Oberfläche unter dem WireGuard-Peer den Haken bei **"NetBIOS über diese Verbindung zulassen"** setzen. Danach funktioniert der Zugriff sofort — ohne Neustart.
Aber *warum* ist das nötig? Und warum hilft es sogar, wenn man gar keinen Hostnamen, sondern direkt die IP-Adresse eingibt?
## 📚 Hintergrund: SMB vs. NetBIOS SMB (Server Message Block) ist das Windows-Protokoll für Dateifreigaben. Es existiert in zwei grundlegend verschiedenen Betriebsmodi: #### ✅ Modernes SMB (Direct Hosting)
- · TCP Port **445** - · SMB 2.x und 3.x - · Ab Windows Vista / Server 2008 - · Kein NetBIOS benötigt - · Direkte TCP-Verbindung - · Sicherer, effizienter
#### ⚠️ Legacy SMB über NetBIOS
- · TCP Port **139** - · SMB 1.0 / CIFS - · Ältere Systeme, NAS-Geräte - · Benötigt NBNS (Port 137) - · Namensauflösung über Broadcast - · Sicherheitsrisiken bekannt
⚠️
**Das zentrale Problem** Windows versucht beim Verbindungsaufbau *immer beide Wege gleichzeitig*. Auch wenn der Server modernes SMB auf Port 445 spricht, sendet Windows parallel NetBIOS-Queries (Broadcasts auf UDP 137/138). Diese Broadcasts werden von WireGuard-Tunneln und den Firewalls dahinter standardmäßig **gefiltert**.
## 🔌 Protokolle & Ports im Überblick
PortProtokollDienstOhne NetBIOS-OptionZweck
`445/TCP`TCPDirect SMBDURCHModernes SMB, direkte Verbindung
`137/UDP`UDPNBNS (Name Service)BLOCKIERTNetBIOS-Namensauflösung via Broadcast
`138/UDP`UDPNetBIOS DatagramBLOCKIERTVerbindungslose Broadcasts, Netzwerk-Discovery
`139/TCP`TCPNetBIOS SessionBLOCKIERTLegacy SMB über NetBIOS (ältere Systeme)
NetBIOS wurde ursprünglich für kleine Netzwerke der 1980er Jahre entwickelt und basiert konzeptionell auf **Broadcasts**. Broadcasts können per Design **nicht durch IP-Router geleitet werden**. WireGuard als Layer-3-Protokoll routet nur Unicast-Pakete — Broadcasts bleiben am Tunnel-Ende stecken.
## 🔄 Was passiert beim Verbindungsaufbau? ### ❌ Ohne "NetBIOS aktivieren"
Schritt 1
Windows-Client gibt `\\192.168.2.11\Freigabe` ein
Schritt 2
Windows startet parallel: TCP-Verbindung auf Port 445 *und* NetBIOS-Query auf UDP 137
Schritt 3
UDP 137-Broadcast → WireGuard-Tunnel → FritzBox-Firewall filtert → **kein NBNS-Response**
Schritt 4
Windows wartet auf NBNS-Timeout, versucht LLMNR als Fallback — auch geblockt
Schritt 5
Verbindungsaufbau schlägt fehl: **0x80004005 — Zugriff verweigert**
### ✅ Mit "NetBIOS aktivieren"
Schritt 1
Windows-Client gibt `\\192.168.2.11\Freigabe` ein
Schritt 2
Windows startet parallel: TCP Port 445 *und* NBNS-Query (UDP 137)
Schritt 3
FritzBox lässt UDP 137/138 und TCP 139 durch (`dont_filter_netbios = yes`)
Schritt 4
NBNS-Response kommt zurück — Windows nimmt das schnellste
Schritt 5
SMB-Session wird aufgebaut — Freigabe erreichbar ✓
## Warum scheitert es auch bei direkter IP-Eingabe?
**Die häufigste Verwunderung:** "Ich gebe doch `\\192.168.2.11\Freigabe` ein — keine Hostnamen! Warum brauche ich NetBIOS?"
Das liegt am Windows-SMB-Stack. Auch bei direkter IP-Eingabe sendet Windows intern zunächst eine **NBNS-Reverse-Query** — eine Art "Wer bist du?" an die Ziel-IP. Das dient der Sessionvorbereitung und Capability-Discovery, nicht nur der Namensauflösung. Konkret: Windows sendet einen **NetBIOS Node Status Request** (UDP 137) direkt an die Ziel-IP um den NetBIOS-Namen des Ziels herauszufinden und die SMB-Session korrekt zu initialisieren. Das ist Legacy-Verhalten das auch in modernen Windows-Versionen mit SMB 2/3 beibehalten wird. #### Windows Explorer / net use
- · Nutzt den Windows LanmanWorkstation-Dienst - · Vollständiger SMB-Stack inkl. NetBIOS-Init - · Sendet NBNS Node Status Request - · Scheitert wenn UDP 137 geblockt ist
#### Eigene SMB-Test-Tools
- · Nutzen oft eigene SMB-Bibliotheken - · Direkte TCP-445-Verbindung - · Überspringen die NetBIOS-Phase - · Funktionieren auch ohne NetBIOS-Freigabe
💡
**Erklärt den scheinbaren Widerspruch** Deshalb meldet ein eigenes Test-Tool "Authentifizierung OK, Freigaben erreichbar" — während Windows Explorer gleichzeitig `0x80004005` wirft. Das Tool umgeht den Windows-Stack und damit die NetBIOS-Phase vollständig.
## ⚙️ FritzBox-interne Mechanik Hinter der UI-Option steckt ein interner FritzBox-Konfigurationsparameter: ``` # NetBIOS deaktiviert (Standard nach Stromausfall/Reset): dont_filter_netbios = no # → FritzBox-Firewall filtert UDP 137/138, TCP 139 # NetBIOS aktiviert (Haken gesetzt): dont_filter_netbios = yes # → NetBIOS-Traffic passiert den Tunnel ``` Es handelt sich dabei **nicht** um ein echtes Application-Level Gateway (ALG) — die FritzBox modifiziert den SMB-Traffic nicht. Sie öffnet lediglich Firewall-Regeln für die betreffenden NetBIOS-Ports auf dem WireGuard-Interface.
⚠️
**Wichtig: Nur für Site-to-Site** AVM bietet diese Option offiziell nur für *Netzwerk-zu-Netzwerk*-WireGuard-Verbindungen an, nicht für reine Client-VPN-Profile.
### Warum nach Stromausfall weg? Ein Stromausfall kann dazu führen, dass die FritzBox ihre WireGuard-Konfiguration aus einem älteren Checkpoint restauriert, oder dass einzelne Konfigurationsparameter auf Defaults zurückfallen. Der Default für `dont_filter_netbios` ist in manchen Firmware-Versionen `no`.
📌
**Historisch** In FritzOS 8.20 wurde der Default auf `no` geändert, was bei vielen Nutzern SMB-Probleme über WireGuard auslöste.
## 🛠️ Fix & Empfehlungen ### Sofort-Fix (FritzBox-Oberfläche) ``` FritzBox UI → Internet → Freigaben → VPN (WireGuard) → WireGuard-Peer auswählen (Bearbeiten) → Haken bei "NetBIOS über diese Verbindung zulassen" setzen → Speichern ```
Kein Neustart nötig — wirkt sofort.
### Dauerhaft absichern Nach dem Fix die aktuelle Konfiguration als Backup exportieren: *System → Sicherung*. Dann überlebt die Einstellung den nächsten Stromausfall. ### Alternative: NetBIOS clientseitig abschalten Langfristig sauberer: NetBIOS auf den Clients vollständig deaktivieren und nur Direct-SMB auf TCP 445 zulassen — setzt voraus, dass alle Server SMB 2+ sprechen. ``` # PowerShell (als Admin): $adapters = Get-WmiObject Win32_NetworkAdapterConfiguration -Filter "IPEnabled=True" $adapters | ForEach-Object { $_.SetTcpipNetbios(2) } # 2 = Disable NetBIOS over TCP/IP ```
**Achtung:** Wenn noch ein altes NAS oder Gerät mit SMB1/CIFS im Netz ist (ältere Synology, QNAP, Windows XP), kann NetBIOS deaktivieren den Zugriff darauf brechen.
## 📎 Quellen - [AVM: WireGuard-VPN zwischen zwei FRITZ!Box-Netzwerken einrichten](https://fritz.com/service/vpn/wireguard-vpn-zwischen-zwei-fritzbox-netzwerken-einrichten/) - [IP-Phone-Forum: WireGuard-VPN Zugriff SMB nicht erfolgreich](https://www.ip-phone-forum.de/threads/wireguard-vpn-zugriff-smb-nicht-erfolgreich.322908/) - [Administrator.de: Kein SMB Zugriff über Fritzbox Wireguard](https://administrator.de/forum/kein-smb-zugriff-ueber-fritzbox-wireguard-3884234988.html) - [Microsoft Learn: Direct hosting of SMB over TCP/IP](https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/direct-hosting-of-smb-over-tcpip) - [4sysops: SMB port numbers explained](https://4sysops.com/archives/smb-port-number-ports-445-139-138-and-137-explained/)